WordPress 2.1.1: Offener Tag auf Ihrem Webserver

3. März 2007 | 3 Kommentare

WordPress Webserver++ EILMELDUNG: WordPress 2.1.1 enthält gefährlichen Code! Update auf 2.1.2 wird dringend empfohlen ++

Einem der Symbole für Blogging und Web2.0 ist ein "worst case" unterlaufen, wie er böser nicht hätte ausfallen könnte. Hunderttausende von Blogs auf dieser Welt, verteilt auf hunderttausenden WebServern dieser Welt laufen mit der OpenSource Blog-Software "WordPress " – so zum Beispiel auch die Blogs der Zeit, von SpreeBlick oder auch dieser hier. Wer was auf sich hält bloggt mit WordPress. Doch die letzte Sicherheitsupdate von WordPress war eine gehackte Version! Bei jedem Programm auf dieser Welt gibt es Sicherheitslücken. Früher oder später findet sie ein jemand, macht sie im besten Falle publik und beschert dann dem Anbieter der Software ein paar lange Programmierernächte, bis er das Loch gestopft hat. Dann stellt er glücklich, erschöpft ein Update auf die Webseite und schläft sich erstmal aus. Bei dem letzten WordPress Update auf die Version 2.1.1. (vom 21. März 2007) sollten die schlaflosen Nächte eine Woche später jedoch erst richtig anfangen.

Wer sich die Version 2.1.1. von der WordPress.org-Seite holte, machte seinen Webserver zu einer Sicherheitslücke: er lud sich eine gehackte, manipulierte Version auf seinen Webserver herunter, mit dem Code auf dem Webserver ausgeführt werden konnte. Auf gut Deutsch – die Webserver werden unsicher, können geknackt werden und im schlimmsten Falle die Daten von allen von Ihnen kopiert oder zerstört werden oder man benutzt den Server zum spammen oder …  – oh, es gibt so viele lustige Sachen, die man mit einem geknackten Webserver anstellen kann. Und WordPress 2.1.1 macht es möglich.

Doch was war eigentlich passiert? Gut eine Woche nach dem Release des vermeintlichen Sicherheitsupdates, am 2. März, kam bei WordPress.org eine Mail an. Darin teilte Ivan Fratric mit, dass ungewöhnlich viel ausführbarer Programmiercode in der neuen Version enthalten sei. Darauf hin schaltete man sofort den WordPress-Server ab und suchte das Problem. Erst dann bemerkte man, dass jemand Zugang zu Ihrem Server besitzt und die das Update manipuliert hatte. Ein "worst case" war eingetreten: drei bis vier Tage hatten sich alle User eine gehacktes Update heruntergeladen und auf ihre eigenen Webserver gespielt. In Nachtarbeit ist man auf Fehlersuche gegangen und hat inzwischen gibt es ein neues, sehr drigend empfohlenes Update auf 2.1.2 bereitgestellt.

Auch wir hatten bereits auf die Version 2.1.1 umgestellt, hatten jedoch Glück im Unglück. Ich habe mit WP 2.1.1 endlich unsern Blog wieder auf die deutsche WordPress-Version umgestellt. Und die deutsche Version war nicht betroffen, das sie der IP-Adresse nach zu urteilen auf einem anderen Server liegt. Dennoch wird empfohlen, auch die deutsche Version upzudaten.

Es stimmt nachdenklich, dass bei einem der Web2.0-Leuchttürme solch gravierende Sicherheitslücken über eine Woche unbemerkt bleiben konnten, bevor der Server abgeschaltet werden musste. Man fühlt sich schnell wieder an die ruhenden Server des StudiVZ erinnert – dieses mit heißer Nadel gestrickte Verzeichnis personenbezogener Daten – von allen Studenten blauäugig genutzt, völlig unsicher und teuer verkauft. Es würde nicht schaden, vor den Releases noch einen Tag drüber zu schlafen, in Ruhe zu testen, ein wenig mehr über die Sicherheit nachzudenken und nicht erst im Nachhinein in langen, schlaflosen Nächten völlig übermüdet die nächste Sicherheitslücke zu stricken und im Netz zum Download bereit zu stellen.ins Netz zu stellen. 

Ähnliche Artikel:

Meta-Daten



3 Kommentare

Auch mal Kommentieren:

Kommentar